منو سایت

  • خانه
  • وبلاگ
  • مصاحبه: چرا هکرها همچنان به پروتکل های DeFi ضربه می زنند، راه حل ها

مصاحبه: چرا هکرها همچنان به پروتکل های DeFi ضربه می زنند، راه حل ها

 تاریخ انتشار :
/
  وبلاگ

  • موجی که در آن هکرها به پروتکل های کریپتو و دیفای ضربه می زنند همچنان در حال افزایش است.
  • بیش از 130 میلیون دلار به دلیل حملات به صنعت کریپتو در سال 2021 از دست رفت.
  • چرا هکرها همچنان صنعت کریپتو را هدف قرار می دهند؟

موجی که در آن هکرها به طور گسترده به فضای DeFi و صنعت ارزهای دیجیتال ضربه زدند، همچنان منبع نگرانی برای صنعت بوده است.

بر اساس گزارش ها، 169 حادثه هک بلاک چین در سال 2021 رخ داده است که نزدیک به 7 میلیارد دلار از منابع مالی به دست هکرها رفته است. طی ماه گذشته، حداقل پنج مورد هک کریپتو با پروتکل DeFi Cream Finance گزارش شد که آخرین مورد مورد حمله این هکرها قرار گرفت. گفته می شود بیش از 130 میلیون دلار به سرقت رفته است.

به جای این موارد، Cryptopolitan با دیمیتری میشونین، مدیر عامل و بنیانگذار HashEx، یک شرکت تحقیق و توسعه با تمرکز بر ادغام بلاک چین در فرآیندهای تجاری و امنیت سایبری صحبت کرد. دیمیتری دارای پیشینه فنی قوی در امنیت سایبری و برنامه های غیرمتمرکز و همچنین تجربه چشمگیر در توسعه سیستم های امنیت اطلاعات است.

در زیر گزیده هایی از این مصاحبه را مشاهده می کنید

س: آیا از تعداد هک ها و سوء استفاده هایی که اخیراً کاربران با آن روبرو هستند شگفت زده شده اید؟

متاسفانه نه. ما شاهد هستیم که افراد بیشتری در حال نوشتن قراردادهای هوشمند خود هستند. اما اغلب آنها از برنامه نویسی کافی و درک خوبی از Solidity برخوردار نیستند – در حال حاضر تنها زبان برنامه نویسی سازگار با اتریوم. داشتن درک خوب از زبان برنامه نویسی برای ایجاد یک پروتکل DeFi قابل اعتماد ضروری است و ندانستن برخی از نکات ظریف آن ممکن است به راحتی منجر به سوء استفاده ها و سرمایه های سرقت شده شود.

س: پذیرش یا امضای قرارداد هوشمندی که حاوی کدهای مخرب است چگونه می تواند منجر به سرقت دارایی های شما شود؟

هر کاربر باید بداند که تراکنش‌های بلاک چین برگشت‌ناپذیر هستند: هنگامی که مقدار مشخصی از یک توکن ERC-20 را به یک قرارداد هوشمند ERC-20 تأیید کردید، به طور غیرقابل برگشتی به آن منتقل می‌شود. یک قرارداد ممکن است دارای کد منبع تایید شده بدون اکسپلویت باشد، اما همچنین می‌تواند دارای تعدادی کتابخانه تایید نشده به عنوان یک وابستگی باشد. تأیید نشانه‌ها برای چنین قراردادی خطر بزرگی است زیرا نمی‌توانید نحوه عملکرد کتابخانه را بررسی کنید.
این مورد در پروژه StableMarket بود، زمانی که حداقل 27 میلیون دلار از سرمایه کاربران به سرقت رفت. قراردادهای پروژه StableMarket دارای یک کد ممیزی شده بودند اما با یک کتابخانه تایید نشده مستقر شدند. این کتابخانه مخرب بود و توکن های کاربران ذخیره شده در پروتکل را به سرقت برد.
یکی دیگر از خطرات برای کاربران، تأیید توکن‌ها به یک قرارداد هوشمند قابل ارتقا است: چنین قراردادی ممکن است به طور خودکار با کدهای مخرب ارتقا یابد و توکن‌های تأیید شده را بدزدد.
اغلب برنامه‌های ظاهری حداکثر مقدار توکن‌ها را برای قرارداد تأیید می‌کنند، نه فقط مقدار توکنی که قرار است استفاده شود. برای پرداخت گاز در یک معامله انجام می شود. اگر کاربر توکن‌هایی را به یک قرارداد واریز کند، باید هزینه گاز را نیز بپردازد. اما اگر قراردادی به صورت مخرب عمل کند، در آن صورت می‌تواند هر مقدار توکن را از کیف پول خارج کند.
بنابراین، بهترین روش برای حداکثر امنیت، همیشه بررسی میزان تاییدیه و تایید تنها مبلغی است که برای عملیات قرارداد مورد نیاز است.

س: آیا هکرها باهوش‌تر می‌شوند یا کاربران ارزهای دیجیتال با رویه‌های امنیت سایبری خود کمتر محتاط می‌شوند؟

هر دو گفته درست است. هکرها در بهره برداری از پلتفرم های وام فلش همراه با پروتکل های مختلف برای ایجاد و بهره برداری از آسیب پذیری ها پیشرفت جدی داشته اند. آن پلتفرم‌های دیگر به تنهایی در بیشتر مواقع امن هستند، اما وام‌های فلش پیچیدگی ساختاری بیشتری ایجاد می‌کنند که آسیب‌پذیری‌ها را بیشتر می‌کند.
چنین حملاتی بسیار پیچیده هستند. حتی تجزیه و تحلیل آنها زمان زیادی می برد. و همچنین هک های زیادی از پروژه ها وجود دارد که فقط دارای کد ضعیف با باگ های ساده هستند که در صورت انجام آزمایشات یا بررسی صحیح کد به احتمال زیاد از بین خواهند رفت.
بخشی از تقصیر نیز متوجه کاربران است، زیرا بسیاری از آنها در مورد اقدامات ایمن که خطرات را به حداقل می رساند، مانند ذخیره سازی سرد، می دانند. اما اغلب آنها را نادیده می گیرند و سر خود را به خاطر فرصتی که می تواند بازگشت سرمایه چند برابری برای آنها به ارمغان بیاورد از دست می دهند. گاهی اوقات، آنها به سادگی پول خود را از دست می دهند.

س: چگونه کاربران می توانند بهتر از دارایی های خود در Metamask و برنامه های مرتبط مانند OpenSea و DeFi محافظت کنند؟

بهترین محافظت این است که همه دارایی ها را در کیف های داغ ذخیره نکنید، بلکه آنها را به کیف های سرد بفرستید: دومی ها به اینترنت دسترسی ندارند. بهتر است فقط مقدار کمی از دارایی های مورد نیاز برای عملیات را در کیف های داغ ذخیره کنید و بقیه را در انبار سرد نگهداری کنید.
علاوه بر این، کاربران باید از قوانین امنیتی استاندارد پیروی کنند: از آنتی ویروس ها استفاده کنند، از باز کردن لینک های مشکوک در ایمیل ها خودداری کنند و در صورت امکان از احراز هویت دو مرحله ای استفاده کنند.

س: آیا فکر می کنید هک ها و اکسپلویت ها با رشد صنعت رایج تر می شوند؟

با رشد صنعت و راه اندازی پروژه های بیشتر، تعداد بیشتری از آنها با خطر هک شدن مواجه خواهند شد. شما نمی توانید تمام باگ ها را در همه پروژه ها از بین ببرید، اما شرکت های امنیتی بلاک چین به طور مداوم در تلاش هستند تا آنها را به حداقل برسانند. این نه تنها شامل ممیزی کد منبع پروژه‌ها می‌شود، بلکه ابزارهای تحلیلی نیز توسعه می‌دهد که به جلوگیری از ظاهر شدن کامل باگ‌ها یا حداقل یافتن آنها در مراحل اولیه توسعه کمک می‌کند.

س: HashEx چه نقشی در گسترش صنعت ارزهای دیجیتال دارد؟

ما مردم را در مورد شفافیت و ایمنی استفاده از برنامه های غیرمتمرکز آگاه می کنیم. منطق کار آنها برای یک کاربر معمولی بسیار پیچیده و نامشخص است. همچنین، هیچ فرد عاقلی مانند پینوکیو در میدان معجزه، پول خود را به چیزی که نمی فهمد سپرد. ما مفاهیم پیچیده را با عبارات ساده توضیح می دهیم و مشکلاتی را که مردم باید از آنها آگاه باشند و سعی کنند از آنها اجتناب کنند را آشکار می کنیم، و همچنین به سرمایه گذاران بالقوه کمک می کنیم تا تصمیمی آگاهانه در مورد وجوه خود بگیرند.
اما در درجه اول ما یک شرکت حسابرسی هستیم که حول محور DeFi و ارزهای دیجیتال متمرکز شده است. این بدان معناست که ما حسابرسی های زیادی از قراردادهای هوشمند انجام می دهیم و در نتیجه به پروژه های رمزنگاری کمک می کنیم تا اعتماد سرمایه گذاران را جلب کنند، زیرا سرمایه گذاران بهتر به پروژه هایی اعتماد می کنند که به خوبی از اشتباهات پرهزینه ای محافظت می شوند که می تواند از نظر مالی به سرمایه گذاران آسیب برساند.

س: نظر شما توسط جی 7 و جو بایدن، رئیس جمهور ایالات متحده، در مورد اقدامات وی برای پایان دادن به باج افزار، امنیت سایبری و هک های مکرر ارزهای دیجیتال چیست؟

بهبود مستمر استانداردهای امنیتی بخشی از ایدئولوژی معمول و سازمانی ما است. ما به دنبال جلب اعتماد به فضای غیرقابل اعتماد DeFi هستیم. و این موضوع در هر حوزه IT، نه فقط در DeFi، بسیار مهم است. با ظهور سریع محصولات نرم افزاری جدید، متاسفانه به جنبه امنیت سایبری توجه کافی نمی شود، که فرصت هایی را برای هکرها ایجاد می کند تا از آنها سوء استفاده کنند. دو دلیل اصلی برای این وجود دارد: «برنامه‌نویسی با کلیک ماوس» و نیروی کار با کیفیت پایین که دستمزدهای غیرضروری زیادی در اختیار آنها قرار می‌گیرد.
این یک نقطه ضعف کسب و کارهای IT است که به سرعت در حال رشد هستند. در این محیط سگ خواری، کسب‌وکارها سعی می‌کنند از یکدیگر پیشی بگیرند، محصولات جدیدی ارائه می‌دهند و اغلب با وجود اهمیت آن‌ها، چشم خود را روی مسائل امنیتی می‌بندند. در نتیجه، گاهی اوقات ما سیستم‌های بزرگی را دریافت می‌کنیم که توسط تعداد زیادی از مشتریان استفاده می‌شود، در حالی که همچنان باگ‌هایی در آنها وجود دارد که می‌تواند منجر به از دست رفتن سرمایه کاربران شود. گاهی اوقات، عواقب این اشکالات حتی می تواند در سراسر قاره باشد.
از این منظر، دخالت دولت کاملاً موجه است. اگر دولت‌های ایالتی درگیر این مسائل نبودند، چه کسی دیگری افراد تاجر حریص را تحت فشار قرار می‌داد و آنها را متقاعد می‌کرد که تلاش‌های خود را صرف اقدامات امنیتی و توسعه نرم‌افزار به شیوه‌ای معقول کنند؟
اگر مردم شروع به گزارش هک به سازمان‌های دولتی کنند، تأثیر مثبتی خواهد داشت. اطلاعات به موقع می تواند به حداقل رساندن عواقب خرابی احتمالی با اجازه دادن به کانال های ذخیره کمک کند (وضعیت عرضه نفت به ساحل شرقی ایالات متحده را می توان به عنوان نمونه خوبی از این عمل در نظر گرفت).
استانداردهای امنیتی یکپارچه در سراسر صنعت نیز مفید خواهد بود، اگر توسط کارشناسان و نه افراد خارجی توسعه داده شوند. حتی در مرحله اولیه فعلی توسعه DApp، ما شاهد اجرای چنین استانداردهایی توسط حسابرسان برجسته هستیم. ادغام چنین پروتکل هایی به همه کمک می کند: برنامه نویسی را آسان تر می کند، کدها را ایمن تر می کند، و همچنین از سرمایه کاربران محافظت می کند.

س: این هک ها از تاثیرشان بر صنعت ارزهای دیجیتال صحبت می کنند

بازخورد برای صنعت کریپتو تلاشی برای کنترل وجوه دزدیده شده است. به نظر من چیز خوبی است. در حال حاضر، شما نمی توانید تمام امکانات دنیای واقعی را از طریق ارز دیجیتال دریافت کنید. این وضعیت روز به روز در حال تغییر است، اما تا کامل بودن فاصله زیادی دارد. بنابراین، هکرها برای برداشت وجوه غیرقانونی به‌دست‌آمده همچنان به پل ارتباطی بین صندوق‌های رمزنگاری و فیات نیاز دارند. این مرحله ای است که در آن می توان مجرمان را شناسایی کرد. هرچه تعداد بیشتری از آنها پیدا شود، تعداد کمتری تمایل به تلاش برای انجام مجدد آن خواهد داشت. می‌توان به این فکر کرد که چگونه در فرهنگ‌های شرقی اعضای بدن را برای دزدی جدا می‌کردند. چنین مداخلاتی از سوی سازمان‌های مجری قانون، تأثیر کاملاً مثبتی بر صنعت کریپتو و شهرت آن دارد. این اقدامات باعث می شود مردم احساس امنیت بیشتری کنند.

س: بازیگران/بازیکنان بد پشت بسیاری از این هک های کریپتو، چه تحریم هایی را برای آنها توصیه می کنید تا دیگران را بازدارند؟

همانطور که قبلاً گفته ام، من طرفدار مجازات چنین افرادی هستم. من چنین عملیاتی را به عنوان کلاهبرداری مالی با درجات مختلف شدت می بینم و اقدامات قانونی مربوطه را برای آنها اعمال می کنم. من در این برهه از زمان تلاشی برای تدوین قوانین جدید ندارم.

س: دستیابی به دنیای کریپتو بدون هک تقریبا غیرممکن است، چگونه سهامداران، سیاست گذاران و همه افراد مختلف می توانند حملات را به حداقل ممکن کاهش دهند؟

هیچ حوزه فناوری اطلاعات بدون تهدیدات سایبری قابل تصور نیست. اما وقتی در مورد مشاغل معمولی صحبت می کنیم، فقط نوک کوه یخ را می بینیم، نه کل تصویر را. هک های بسیار بیشتری وجود دارد که به چشم می خورد زیرا شرکت ها در صورت عمومی شدن چنین دانشی می توانند اعتبار آنها را تضعیف کنند. با ارزهای دیجیتال، همه چیز شفاف و به طور عمومی شناخته می شود، بنابراین رسانه های جمعی بیشتر در مورد این موارد می نویسند.
امنیت سایبری یک عمل چند بعدی است که شامل چارچوب‌های نظارتی در نقاط خروج و ورود کریپتو به فیات، آموزش کاربران، تیم‌های امنیت سایبری در حال بررسی کد و غیره است. این صنعت هنوز جوان است، که فرصتی عالی برای هدایت آن به سمت بردارهای درست فراهم می‌کند. توسعه به این ترتیب، ما می‌توانیم از همان ابتدا به جای تلاش برای وصله‌کردن سوراخ‌ها، از روش‌های ایمن‌تر استفاده کنیم.